• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Tsunamy_boy

sql injection

15 mensagens neste tópico

Reparei que todos os posts em PHP que contenham o caracter ' são substituidos por \'

A pergunta é:

Se se retirarem todos os caracteres ' estou seguro do sqlinjection?

eu estive a ver o comando mysql_real_escape_string() (com base num topico daqui) só que onde o quero por não me dá jeito, e fazer isto para todos é lixado... :hmm:

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Essa substituição vem do magic_quotes. Basicamente escapa-te caracteres perigosos automaticamente.

Eu normalmente uso a mysql_real_escape_string()

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

só passar a plica para barra plica é possivel fazer injection... mas... sim, é seguro....

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Essa substituição vem do magic_quotes. Basicamente escapa-te caracteres perigosos automaticamente.

Eu normalmente uso a mysql_real_escape_string()

usar o mysql_real_escape_string() tem que ser dentro do $Sql, e lá dentro crias variaveis $s (axo) e fica uma query muito confusa de ler depois...dai não gostar muito da ideia...

só passar a plica para barra plica é possivel fazer injection... mas... sim, é seguro....

não percebi é ou não seguro?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

usar o mysql_real_escape_string() tem que ser dentro do $Sql, e lá dentro crias variaveis $s (axo) e fica uma query muito confusa de ler depois...dai não gostar muito da ideia...

não percebi é ou não seguro?

Epah... fica com a parte do "é seguro" nao quero baralhar essa cabeça...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Quando tiver tempo vou lá ver e k isto de internet no telemóvel já teve os seus tempos.

Podes-me dar um exemplo de um login k tenhas feito( protegido)

da-me só a parte que recebe os posts

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não percebo o porquê disso tudo... Mas toma lá um exemplo:

$user = mysql_real_escape_string($_POST['username']);
$password = sha1($_POST['password']);

$res = mysql_query(sprintf("SELECT nome FROM users WHERE user = '%s' AND password = '%s'", $user, $password));

if(mysql_num_rows($res) != 1) die("Erro");
$result = mysql_fetch_assoc($result);
echo "Bem vindo {$result['nome']}!";

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Brigadao eu quando tiver net decente copio e testo

"Copio, e testo...."  já não há jovens como antigamente.... eu quando era puto levava artigos em disquetes para casa porque não tinha net, e passava o fim de semana a queimar o cérebro a programar... agora... para quê?  há sempre alguém num forum qqr que dá-me o código a "borla"

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

looool

ai ai! bons velhos tempos os da caixas com 10 disketes dentro da mochila, agora é uma pen... oh acabou o espírito da coisa! .)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

"Copio, e testo...."  já não há jovens como antigamente.... eu quando era puto levava artigos em disquetes para casa porque não tinha net, e passava o fim de semana a queimar o cérebro a programar... agora... para quê?  há sempre alguém num forum qqr que dá-me o código a "borla"

Ele lá sabe...

Essa é a melhor via para se cometerem erros crassos de segurança num site... (falo por experiência própria).

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

como assim?

Saber o que fazer, mas nao saber como fazer ou como englobar as nossas ajudas dentro de um projecto... normalmente o eval disso é mesmo uma grande buracada num site...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ainda gostava de saber o que é que estes 5 posts têm a ver com o tópico... ::thumbsup:

O que o cyclop e o que o vbmaster estão a dizer é que tu aplicando as coisas sem saberes o que fazem é meio caminho andado para teres falhas de segurança no teu site. Exemplo: Eu não usava o mysql_real_escape_string() no meu exemplo, tu não vias, um caramelo qualquer usava isso para fazer sql injection e dizias adeus a tudo o que tinhas na base de dados. Same applies to eval.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora